หมายเหตุ
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลอง ลงชื่อเข้าใช้หรือเปลี่ยนไดเรกทอรีได้
การเข้าถึงหน้านี้ต้องได้รับการอนุญาต คุณสามารถลองเปลี่ยนไดเรกทอรีได้
ความปลอดภัยให้การประกันในการรักษาความลับ ความถูกต้อง และความพร้อมใช้งานของระบบของเวิร์กโหลดและข้อมูลผู้ใช้ มาตรการควบคุมความปลอดภัยจำเป็นสำหรับเวิร์กโหลดและการพัฒนาซอฟต์แวร์และส่วนประกอบการทำงานของระบบ เมื่อทีมออกแบบและทำงานกับเวิร์กโหลด พวกเขาแทบจะไม่สามารถประนีประนอมกับมาตรการควบคุมความปลอดภัยได้เลย
ในระหว่างขั้นตอนการออกแบบเวิร์กโหลด สิ่งสำคัญคือต้องพิจารณาว่าการตัดสินใจโดยยึดตาม หลักการการออกแบบความปลอดภัย และคำแนะนำใน รายการตรวจสอบการทบทวนการออกแบบสำหรับความปลอดภัย อาจมีอิทธิพลต่อเป้าหมายและการเพิ่มประสิทธิภาพของเสาหลักอื่นๆ อย่างไร การตัดสินใจบางอย่างอาจเป็นประโยชน์ต่อบางเสาหลัก แต่ก็อาจต้องมีการแลกเปลี่ยนกับเสาหลักอื่นๆ บทความนี้แสดงรายการตัวอย่างการแลกเปลี่ยนที่ทีมจัดการเวิร์กโหลดอาจเจอเมื่อออกแบบสถาปัตยกรรมเวิร์กโหลดและการดำเนินงานเพื่อการปรับปรุงประสบการณ์ใช้งาน
การแลกเปลี่ยนด้านความปลอดภัยกับความน่าเชื่อถือ
การแลกเปลี่ยน: ความซับซ้อนที่เพิ่มขึ้น เสาหลักความน่าเชื่อถือให้ความสำคัญกับความเรียบง่าย และแนะนำให้ลดจุดที่อาจเกิดความล้มเหลวให้เหลือน้อยที่สุด
มาตรการควบคุมความปลอดภัยบางอย่างอาจเพิ่มความเสี่ยงในการกำหนดค่าผิดพลาด จนอาจส่งผลให้การทำงานหยุดชะงักได้ ตัวอย่างของมาตรการควบคุมความปลอดภัยที่อาจทำให้เกิดการกำหนดค่าที่ไม่ถูกต้อง ได้แก่ กฎการรับส่งข้อมูลเครือข่าย การตั้งค่าไฟร์วอลล์ IP และการกำหนดการควบคุมการเข้าถึงตามบทบาทหรือตามแอตทริบิวต์
เครื่องมือรักษาความปลอดภัยเวิร์กโหลดมักจะรวมอยู่ในหลายเลเยอร์ของสถาปัตยกรรม การดำเนินงาน และข้อกำหนดรันไทม์ของเวิร์กโหลด เครื่องมือเหล่านี้อาจส่งผลต่อความยืดหยุ่น ความพร้อมใช้งาน และการวางแผนกำลังการผลิต หากไม่พิจารณาข้อจำกัดในเครื่องมืออาจนำไปสู่เหตุการณ์ด้านความน่าเชื่อถือ เช่น ไม่เหลือพอร์ต Source Network Address Translation (SNAT) บนไฟร์วอลล์ขาออก
เสาหลักด้านความปลอดภัยจำเป็นต้องมีเวิร์กโหลดในการตรวจสอบข้อมูลประจำตัวและการดำเนินการอย่างชัดเจน การตรวจยืนยันเกิดขึ้นผ่านการขึ้นต่อกันที่สำคัญในส่วนประกอบด้านความปลอดภัยที่สำคัญ หากไม่มีส่วนประกอบเหล่านั้นหรือมีการทำงานผิดปกติ การตรวจยืนยันอาจไม่สมบูรณ์ ความล้มเหลวนี้ทำให้เวิร์กโหลดอยู่ในสถานะด้อยคุณภาพ ตัวอย่างบางส่วนของการขึ้นต่อกันที่เป็นจุดล้มเหลวจุดเดียวที่สำคัญเหล่านี้คือ:
- ไฟร์วอลล์ขาเข้าและขาออก
- รายชื่อการเพิกถอนใบรับรอง
- ตัวให้บริการข้อมูลประจำตัว เช่น Microsoft Entra ID
มาตรการควบคุมความปลอดภัยอาจส่งผลต่อวัตถุประสงค์ด้านเวลากู้คืน ผลกระทบนี้อาจเกิดจากขั้นตอนเพิ่มเติมที่จำเป็นในการถอดรหัสข้อมูลที่สำรองไว้ หรือจากความล่าช้าในการเข้าถึงการดำเนินงานที่สร้างโดยการคัดกรองความน่าเชื่อถือของไซต์
มาตรควบคุมความปลอดภัยเอง เช่น ชุดเก็บข้อมูลลับและเนื้อหาต่างๆ ต้องเป็นส่วนหนึ่งของแผนการกู้คืนความเสียหายของเวิร์กโหลด และต้องได้รับการตรวจสอบความถูกต้องผ่านการฝึกซ้อมกู้คืน
ความต้องการด้านความปลอดภัยหรือการปฏิบัติตามข้อกำหนดอาจจำกัดตัวเลือกถิ่นที่อยู่ของข้อมูลหรือข้อจำกัดการควบคุมการเข้าถึงสำหรับการสำรองข้อมูล ซึ่งอาจทำให้การกู้คืนมีความซับซ้อนมากขึ้น
นโยบายการอัปเดตโซลูชันที่เข้มงวดยิ่งขึ้นนำไปสู่การเปลี่ยนแปลงที่มากขึ้นในสภาพแวดล้อมการทำงานจริงของเวิร์กโหลด การเปลี่ยนแปลงนี้มาจากแหล่งที่มาดังนี้:
- การเผยแพร่โค้ดแอปพลิเคชันบ่อยขึ้นเนื่องจากการอัปเดตโซลูชัน
- การใช้การอัปเดตจากเวฟการเผยแพร่ Power Platform
- การอัปเดตการกำหนดค่าของการตั้งค่าสภาพแวดล้อม Power Platform ในสภาพแวดล้อม
- การใช้แพตช์กับไลบรารีหรือส่วนประกอบที่ใช้ในสภาพแวดล้อม
กิจกรรมการหมุนเวียนคีย์ ข้อมูลประจำตัวของบริการหลัก และใบรับรองจะเพิ่มความเสี่ยงของปัญหาแบบชั่วคราวเนื่องจากระยะเวลาของการหมุนเวียนและไคลเอ็นต์ที่ใช้ค่าใหม่
การแลกเปลี่ยนด้านความปลอดภัยกับความเป็นเลิศในการดำเนินงาน
ประโยชน์ด้านความปลอดภัยจากการบันทึกที่ครอบคลุมซึ่งให้ข้อมูลเชิงลึกที่มีความเที่ยงตรงสูงเกี่ยวกับเวิร์กโหลด สำหรับการแจ้งเตือนเกี่ยวกับการเบี่ยงเบนไปจากเส้นฐานและการรับมือภัยคุกคามทางไซเบอร์ การบันทึกนี้สามารถสร้างไฟล์บันทึกจำนวนมาก ซึ่งทำให้การให้ข้อมูลเชิงลึกที่กำหนดเป้าหมายไปที่ความน่าเชื่อถือหรือประสิทธิภาพทำได้ยากขึ้น
เมื่อปฏิบัติตามแนวทางการปฏิบัติตามข้อกำหนดสำหรับการมาส์กข้อมูล ส่วนเฉพาะของไฟล์บันทึกหรือแม้แต่ข้อมูลตารางจำนวนมากจะถูกแก้ไขเพื่อปกป้องการรักษาข้อมูลที่เป็นความลับ ทีมจำเป็นต้องประเมินว่าช่องว่างความสามารถในการสังเกตนี้อาจส่งผลต่อการแจ้งเตือนหรือขัดขวางการรับมือภัยคุกคามทางไซเบอร์อย่างไร
มาตรการควบคุมความปลอดภัยบางอย่างขัดขวางการเข้าถึงโดยการออกแบบ ในระหว่างการรับมือภัยคุกคามทางไซเบอร์ มาตรการควบคุมเหล่านี้อาจทำให้การเข้าถึงฉุกเฉินของผู้ปฏิบัติงานเวิร์กโหลดช้าลง ดังนั้น แผนการรับมือภัยคุกคามทางไซเบอร์จึงต้องเน้นไปที่การวางแผนและการฝึกซ้อมมากขึ้น เพื่อให้ได้ประสิทธิภาพที่ยอมรับได้
นโยบายการควบคุมและการอนุมัติการเปลี่ยนแปลงที่เข้มงวดยิ่งขึ้นเพื่อลดความเสี่ยงในการเกิดช่องโหว่ด้านความปลอดภัยอาจทำให้การพัฒนาและการปรับใช้งานคุณลักษณะใหม่ที่ปลอดภัยช้าลง อย่างไรก็ตาม ความคาดหวังในการจัดการกับการอัปเดตด้านความปลอดภัยและแพตช์สามารถเพิ่มความต้องการในการใช้งานบ่อยครั้งมากขึ้น นอกจากนี้ นโยบายการอนุมัติแบบควบคุมโดยมนุษย์ในกระบวนการปฏิบัติงานอาจทำให้กระบวนการเหล่านั้นเป็นอัตโนมัติได้ยากขึ้น
ผลการทดสอบความปลอดภัยพบว่าจำเป็นต้องจัดลำดับความสำคัญ ซึ่งอาจขัดขวางงานที่วางแผนไว้
กระบวนการประจำ เฉพาะกิจ และฉุกเฉินอาจต้องมีการบันทึกการตรวจสอบเพื่อให้เป็นไปตามข้อกำหนด การบันทึกนี้จะเพิ่มความแข็งแกร่งในการดำเนินกระบวนการ
ทีมจัดการเวิร์กโหลดอาจเพิ่มความซับซ้อนของกิจกรรมการจัดการข้อมูลประจำตัว เนื่องจากคำจำกัดความบทบาทและการมอบหมายงานมีความละเอียดมากขึ้น
จำนวนงานของการปฏิบัติงานประจำที่เกี่ยวข้องกับการรักษาความปลอดภัยที่เพิ่มขึ้น เช่น การจัดการใบรับรอง จะทำให้จำนวนกระบวนการในการทำให้เป็นอัตโนมัติเพิ่มมากขึ้น
เนื่องจากความต้องการในการปฏิบัติตามข้อกำหนดภายนอกจากองค์กรขนาดใหญ่หรือจากหน่วยงานภายนอกเพิ่มขึ้น ความซับซ้อนในการบรรลุผลและการพิสูจน์การปฏิบัติตามข้อกำหนดกับผู้ตรวจสอบก็เพิ่มขึ้นเช่นกัน
ความปลอดภัยต้องใช้ทักษะพิเศษที่ทีมจัดการเวิร์กโหลดมักไม่มี ความเชี่ยวชาญเหล่านั้นมักได้มาจากองค์กรขนาดใหญ่หรือจากบุคคลที่สาม ในทั้งสองกรณี จำเป็นต้องมีการประสานงานด้านบุคลากร การเข้าถึง และความรับผิดชอบ
ความต้องการในการปฏิบัติตามข้อกำหนดหรือขององค์กรมักต้องมีแผนการสื่อสารที่ได้รับการบำรุงรักษาเพื่อการเปิดเผยการละเมิดอย่างมีความรับผิดชอบ แผนเหล่านี้ต้องคำนึงถึงการดำเนินการในการประสานงานด้านการรักษาความปลอดภัย
การแลกเปลี่ยนด้านความปลอดภัยกับการปรับปรุงประสบการณ์ใช้งาน
ควรลดเลเยอร์ส่วนติดต่อด้านความปลอดภัยให้มีน้อยที่สุด ซึ่งอาจส่งผลเสียต่อการใช้ส่วนประกอบและการรวมระบบของบุคคลที่สามที่ต้องการสำหรับปรับปรุงประสบการณ์ใช้งาน
การจัดประเภทข้อมูลสามารถทำให้การค้นหาและใช้ข้อมูลในเวิร์กโหลดทำได้ยากขึ้น
โปรโตคอลความปลอดภัยเพิ่มความซับซ้อนในการโต้ตอบกับผู้ใช้ และอาจส่งผลให้เกิดความท้าทายในการใช้งาน
การแลกเปลี่ยนความปลอดภัยกับประสิทธิภาพการทำงาน
การควบคุมความปลอดภัยในการตรวจสอบ เช่น ไฟร์วอลล์และตัวกรองเนื้อหา จะอยู่ในโฟลว์ที่ควบคุมการรักษาความปลอดภัย ดังนั้นการไหลเหล่านั้นจึงต้องได้รับการตรวจยืนยันเพิ่มเติม ซึ่งจะเพิ่มความล่าช้าให้กับคำขอ
การควบคุมข้อมูลประจำตัวต้องตรวจยืนยันการเรียกใช้ส่วนประกอบที่ควบคุมแต่ละครั้งอย่างชัดเจน การตรวจสอบนี้ใช้รอบการประมวลผลและอาจต้องใช้การผ่านเครือข่ายเพื่อขอรับการอนุญาต
การเข้ารหัสและถอดรหัสต้องใช้รอบการประมวลผลเฉพาะ วงจรเหล่านี้เพิ่มเวลาและทรัพยากรที่ใช้ในการไหลเหล่านั้น โดยทั่วไปการเพิ่มขึ้นนี้จะมีความสัมพันธ์กับความซับซ้อนของอัลกอริทึมและการสร้างเวกเตอร์การเริ่มต้น (IV) ที่มีเอนโทรปีสูงและหลากหลาย
เมื่อขอบเขตของการบันทึกข้อมูลเพิ่มมากขึ้น ผลกระทบต่อทรัพยากรระบบและแบนด์วิดท์ของเครือข่ายสำหรับการสตรีมบันทึกเหล่านั้นก็อาจเพิ่มขึ้นเช่นกัน
การแบ่งส่วนทรัพยากรมักจะแนะนำการกระโดดของเครือข่ายในสถาปัตยกรรมเวิร์กโหลด
การกำหนดค่าที่ไม่ถูกต้องหรือการขยายการควบคุมความปลอดภัยมากเกินไปอาจส่งผลกระทบต่อประสิทธิภาพการทำงานเนื่องจากการกำหนดค่าที่ไม่มีประสิทธิภาพ ตัวอย่างการกำหนดค่าการควบคุมความปลอดภัยที่อาจส่งผลต่อประสิทธิภาพ ได้แก่:
การจัดลำดับกฎไฟร์วอลล์ ความซับซ้อน และปริมาณ (ความละเอียด)
ไม่สามารถแยกไฟล์คีย์ออกจากโปรแกรมตรวจสอบความสมบูรณ์ของไฟล์หรือโปรแกรมสแกนไวรัสได้ การละเลยขั้นตอนนี้อาจนำไปสู่การโต้แย้งการล็อค
ไฟร์วอลล์แอปพลิเคชันเว็บทำการตรวจสอบแพ็กเก็ตเชิงลึกสำหรับภาษาหรือแพลตฟอร์มที่ไม่เกี่ยวข้องกับส่วนประกอบที่กำลังได้รับการปกป้อง